疫情下面向大規模直播教學的組網技術研究

林俏伶，胡曦明,2*，李 鵬,2

(1.陜西師范大學 計算機科學學院，陜西 西安 710119；2.現代教學技術教育部重點實驗室，陜西 西安 710119)

0 引 言

疫情防控期間，全國高校按照教育部《關于在疫情防控期間做好普通高等學校在線教學組織與管理工作的指導意見》(以下簡稱《指導意見》)的統一部署，全面實施網上教學；各地中小學按照教育部、工信部聯合印發的《關于在中小學延期開學期間“停課不停學”有關工作安排的通知》(以下簡稱《通知》)要求，各地各校因地制宜實施多樣化遠程教學。從湖北[1]、山西[2]、浙江[3]等省教育主管部門發布的疫情期間教學指導意見并結合在線教學實踐來看，線上直播、網絡錄播和點播是基于互聯網開展遠程教學的三大方案。據調查顯示，最受師生歡迎和線上應用率最高的方案是在線直播。據黑龍江省高校統計，在29.6萬個在線課堂中直播課堂約20.6萬余個(占比近70%)，約70%的學生表示更喜歡直播課堂和包括直播課堂在內的混合式課堂[4]；另據江蘇省高等教育學會面向蘇南地區10所“雙高計劃”高職院校開展線上教學情況調研發現，教師使用騰訊課堂、釘釘等平臺線上教學采用直播授課的占比最高[5]；廈門大學通過對6所新老不同的地方本科院校在線教學質量報告進行統計分析發現，不論是教師還是學生認可“直播+在線互動”的比例均超過了其他線上教學模式[6]。深入分析疫情下大規模線上直播教學對數據承載網絡的組網性能需求，并針對性提出切實可行的組網技術解決方案，不斷開拓適宜國內教育需要的信息化技術新路徑，從而進一步釋放“互聯網+教育”巨大潛能和動力，使得主動服務國家教育現代化事業成為富有緊迫性、基礎性和應用價值的重要現實課題。

1 大規模線上直播教學的組網需求

1.1 持續大規模高密度同步傳輸

按照教育部2020年5月20日發布的《2019年全國教育事業發展統計公報》，國內各級各類學校53.01萬所，各級各類學歷教育在校生規模達2.82億人，其中高校在校生0.4億人，中小學在校生1.8億[7]。面向如此大規模的學生實施群體性的網絡教學史無前例，與高校“一校一策、一校多策”在線直播采取分課程分班分階段的分化分流實施方式不同，基礎教育階段直播教學通常在省級統一部署下按教育部《義務教育課程方案》和《普通高中課程方案》規定的課程和課時，按正常上課時間面向全地區中小學生進行同步課程直播教學。

例如，江西省教育廳印發《江西省中小學2020年寒假及春季學期延期開學期間線上教育教學實施方案》，按照全省統一課表、統一課程、統一進度的“三個統一”，從2月10日起開展除初三、高三外的全省622萬中小學生統一同步在線教學，同步課程通過江西省中小學線上教學平臺“贛教云”以及有線電視、江西IPTV等渠道進行直播[8]；西安市教育局1月30日印發《西安市2020年春季學期中小學幼兒園延期開學“停課不停學”工作方案》由市教育局統一組織，2月10日起全市中小學所有學科課程按統一的直播課表通過西安市優質教育資源共享平臺和西安教育電視臺向全市中小學生進行同步直播[9]。各地市集中性的同步網上教學給底層承載網絡帶來了持續性的大規模高密度用戶同步數據傳輸流量，如此前所未有的海量同步數據承載負荷給網絡傳輸服務帶來巨大壓力，由此造成2月10日開始線上直播教學當天各地頻現網絡卡頓、無響應甚至網絡崩潰。從技術層面看，區域性大規模成建制在線直播教學業務對網絡組網提出了承載持續性大規模高密度同步傳輸數據的新需求。

1.2 分組式成員動態管理

面對網絡擁堵難以保障在線直播教學服務的實際情況，各地加大基于電視的“空中課堂”投放力度，對網絡直播教學實施分流。例如，江西廣電有線電視和中國電信江西IPTV等電視運營商先后安排了30個電視頻道，總共免費開通120個專用頻道，同時省教育廳特別推薦使用電視收看同步課程，通過分流用戶極大緩解了“贛教云”平臺在線直播遭遇的“卡、堵”[10]。通過調整或新開通電視頻道架設同步課程教學，“空中課堂”來保障“停課不停學”成為疫情期間全國各地的普遍做法和有益經驗。據5月14日教育部疫情期間大中小學在線教育情況和下一步工作考慮發布會上教育部基礎教育司司長呂玉剛介紹，為確保網絡暢通，教育部在工信部和國家廣播電視總局的大力支持下，于2月17日正式開通中國教育電視臺空中課堂。疫情防控期間，中國教育電視臺空中課堂收視率大幅躍升，在全國各大衛視關注度排名中進入前十[11]。由于電視的數據傳輸方式采用“一對多”的廣播方式，網絡的數據承載量不會由于用戶規模的增加而線性增長，因此可以承載海量用戶。但是不論是基于有線電視還是IPTV的“空中課堂”都存在處于源端的老師無法對處于電視終端的學生進行個性化學習管理的技術性短板，這與早期的“電視大學”局限十分相似。想要從教學質量和教學管理上保證線上直播教學與線下實體課堂教學實質等效，就需要線上直播教學能支持分學科分班級分課程等分組方式基礎之上的成員動態管理，例如創建學習群、群組成員加入與退出等，從而有效支撐在線直播教學過程中線上發布作業、分組討論、答疑輔導等教學活動。

1.3 資源跨域共享安全控制

疫情期間，按照政府主導、高校主體、社會參與的方式，線上優質教育教學資源共享除了通過由國家、省市各級政府主導的國家中小學網絡云平臺、國家精品在線開放課程以及27個省級網絡學習平臺等直接輸出型供給之外，以高校為主體、社會廣泛參與的校際合作，跨校課程和校地協同等各主體間交互型資源共享與直接輸出型供給實現了優勢互補，成為新的亮點。例如，清華大學先后與華中科技大學、武漢大學、華中農業大學、新疆大學、太原理工大學等5所高校通過校際合作對接、跨校域及地域共享資源，實現了5校學生云端同上清華[11]。主體之間跨校域及地域的資源共享，對于構建更大范圍的開放學習體系具有廣闊的應用前景，但在資源跨域共享過程中也存在安全隱患。由于各主體的安全控制策略不盡相同，主體間的資源跨域共享過程中必然面臨域間的安全協商與安全準入、資源跨域安全傳輸以及信息安全保密等安全性挑戰，尤其對于面向未成年人的基礎教育資源跨域共享的安全控制更值得高度關注，為此《指導意見》在工作保障部分將“確保在線教學安全平穩運行”單列為一條予以特別強調。

2 基于“VPN+組播”的組網技術

疫情期間在線教學實踐表明，一是，線上直播深得一線師生認可，但同時帶來持續大規模高密度同步傳輸需求給底層數據承載網絡造成巨大壓力；二是，基于電視的“空中課堂”通過一對多的傳輸方式能夠有效保障遠程直播教學，但又存在不支持分組式成員動態管理的技術性短板；再者，主體間的資源跨域共享安全控制的需求愈發強烈。該文以實踐經驗為基礎、以問題為導向，探索將VPN的安全性與組播數據傳輸的高效性相結合的“VPN+組播”組網技術，既可為當前大規模線上直播教學提供關鍵性基礎網絡技術支撐，又能為面向未來線上教育發展開拓切實可行的技術途徑。

2.1 方案設計

(1)方案一：域內組播。

在虛擬專用網(virtual private network，VPN)的隧道技術中，大部分隧道協議支持數據單播，這使得利用VPN單播成為跨公網傳輸數據的優先選擇。針對直播教學課堂中的視頻數據可先通過單播的方式從VPN隧道源端口點對點傳送到目的端口，進而使目的端口處的路由器在接收到視頻數據后通過域內組播的方式發送給目的域中需要該視頻數據的接收者，形成一種VPN跨公網單播、局部域內網組播的組網方式，詳見圖1學校A與對接學校B或對接學校C之間的數據傳輸方式。

(2)方案二：全域組播。

隨著VPN業務的深入，不同的實際應用對VPN組播業務提出了新的需求。利用傳統的VPN技術與組播技術相結合，使得VPN能支持組播數據流跨公網安全傳輸，且無需進行單播到組播的數據轉換，直接將組播數據送達至組播接收方所在的目標網絡，既可以提高組播數據的傳輸效率，也能夠增強VPN隧道對不同數據的兼容性，詳見圖1學校A與對接學校D之間的數據傳輸方式。

圖1 方案設計拓撲

(3)方案三：域間混合組播。

針對不同網段的多元化需要，可將VPN中單播和VPN中組播的方式相結合，形成一種混合式組網方案，即部分VPN采用的是僅支持單播的隧道協議，數據到達目標網絡后再進行組播；其他采用的是支持組播的VPN，組播數據直接通過VPN隧道到達目標網絡及其組播接收方，具體如圖1學校A與各對接學校間的數據傳輸所示。這種混合式的組網方案與前兩種方案相比靈活性和可擴展性更強，適合不同網絡傳輸視頻數據。

2.2 工作機制

如圖2所示，基于“VPN+組播”的組網方案的工作過程分為三個階段：

圖2 組網方案工作過程

(1)階段一：組成員管理。

組播接收方需要向組播組注冊成為該組的成員，以告知組播源自身所需的數據及所處的目標網絡。通常由連接組播接收方的最后一跳路由器完成Internet組管理協議(internet group management protocol，IGMP)的管理，即對組播組成員進行加入、離開、查詢等行為的組播組注冊信息管理[12-13]，如圖2階段一所示，其中隧道邊緣路由器A將同時充當組播接收方的最后一跳路由器。IGMP管理能夠提高數據分發的準確性和針對性，提出分組分級的概念，協助完成組播數據一對多高效傳輸的任務。

(2)階段二：交互式安全協商。

VPN隧道技術可以有效緩解數據在組播網絡傳輸中每段單播網絡內的安全漏洞所帶來的影響。在明確組播組成員所處的目標網絡后，通過在組播源服務器和目標網絡之間搭建VPN網絡，能夠進一步實現跨區域的數據傳播和資源共享。而交互式的協商是搭建VPN隧道過程中必不可少的一步。如圖2階段二所示，安全組播隧道雙方需要動態建立安全連接，該過程由IPSec安全協議中的Internet密鑰交換(internet key exchange，IKE)協議完成[14]，作為后續數據加密、認證、完整性校驗等安全服務的前提。

(3)階段三：數據加密傳輸。

為保障組播數據傳輸的可靠性與安全性，安全組播隧道綜合了GRE VPN和IPSec VPN兩種技術的優勢[15-17]。利用GRE技術對用戶數據和路由協議報文進行隧道封裝，使得VPN支持組播；然后使用IPSec技術來保護GRE隧道的安全[18]，由此構成可運用到組播應用中的GRE over IPSec VPN技術，加密數據報文在隧道傳輸中的封裝過程如圖2階段三所示。

3 仿真實現

在上述給出的設計方案的基礎上，該文采用由華為提供的圖形化網絡設備仿真平臺eNSP，主要對網絡路由器、服務器等設備進行軟件仿真，模擬大型網絡。該平臺引用了VLC(video LAN client)跨平臺多媒體播放器工具，允許組播源服務器播放多媒體文件模擬發送組播數據；同時利用Wireshark網絡封包分析軟件進行報文擷取和數據測量，為后續性能分析提供數據基礎。

3.1 組網拓撲

在上述分析需求的基礎上，由于域內組播和域間混合組播均是全域組播的變形與拓展，故該文選取具有代表性的GRE over IPSec VPN及全域組播方案進行仿真模擬。對于三個對接學校而言，GRE over IPSec VPN的功能實現是相同的，所以仿真實現以其中一個分支的網絡配置為例做具體描述。仿真拓撲如圖3所示，路由器R1代表學校A，路由器R9代表對接學校D，其余路由器模擬Internet網絡，由OSPF協議實現網絡互聯互通，其中對接學校網絡D內存在組播接收者和普通用戶。

圖3 “VPN+組播”全域組播方案的仿真拓撲

3.2 技術實現

3.2.1 實現步驟

仿真實現的內容包括配置組播信息、配置GRE隧道和配置GRE over IPSec VPN，具體步驟如圖4所示。

圖4 實現步驟

(1)配置組播信息。

結合圖3分析，與組播相關的配置包括給組播網絡設備，如學校A中的組播源服務器和對接學校D中的PC6、PC8設置組播組地址、開啟路由器，如路由器R1、R9的組播功能以及IGMP使能。

(2)配置GRE隧道。

分別對路由器R1和R9配置GRE隧道虛擬源接口和虛擬目的接口的信息，并在組播源所在的學校A網絡中配置靜態路由，令其下一跳指向隧道口，將組播報文流量引入GRE隧道，使得數據流只通過隧道到達組播接收方所在的網絡。

(3)配置GRE over IPSec VPN。

在GRE VPN實現的基礎上繼續對路由器R1和R9進行IPSec配置，采用IKE動態協商方式建立IPSec隧道。在IPSec安全提議的配置中，將封裝模式定義為傳輸模式，與隧道模式相比，傳輸模式下的封裝可以避免因新增IP包頭導致報文長度增加而造成的分片問題；同時采用算法安全性高的對稱加密算法和驗證算法進一步保障隧道的安全。最后，在隧道接口處調用安全策略并發起數據。

3.2.2 實現過程

GRE over IPSec VPN對組播數據的處理如圖5所示。

圖5 組播數據穿越隧道傳輸過程及加密報文格式

經檢測判斷隧道連通性良好后，由組播源服務器向隧道發送組播數據，從而觸發GRE隧道感興趣流。組播數據進入隧道后先由GRE封裝原始報文的IP包頭信息，產生的新IP包頭的源IP和目的IP均變為隧道物理接口地址。經過IPSec安全協商后，由ESP對新IP包頭后的數據部分進行加密再封裝，并在加密數據尾部提供校驗認證數據，這使得被GRE封裝后的原始報文再次被封裝形成加密報文，最終穿越隧道傳輸到達隧道目的接口并被解封裝成原始報文發送給下游的組播接收方。

3.3 數據測量與性能分析

3.3.1 組成員管理

IGMP組管理主要針對最后一跳路由器對組成員的查詢和管理，具體體現為組成員通過發送成員關系報告報文和成員離開報文實現申請加入和離開操作。在GRE隧道實現的基礎上，組播源服務器在發起組播數據后由組播接收方依次執行成員的加入和離開操作。

此時捕捉GRE隧道中的報文，觀察到組播組成員的加入和離開操作分別引起PIM協議對上游組播網絡發起的加入和剪枝操作，具體如圖6所示。

圖6 PIM協議加入與剪枝實現組成員管理

由此可知，IGMP能夠對組播組成員進行有效的動態成員信息管理，與PIM協議相輔相成，及時將組成員信息反饋給上游網絡中的路由器完成組播網絡的加入和剪枝操作。

3.3.2 交互式安全協商

當GRE隧道接口應用IPSec安全策略后，抓包發現，IKE協商過程分為主模式和快速模式兩個階段，如圖7所示。其中主模式由六個數據包完成策略交換、密鑰信息交換和身份和認證信息交換；快速模式由三個數據包建立雙方的IPSec安全連接，進一步保障了交互的安全，完成安全協商。IKE協商過程及部分抓包結果如圖8所示。

圖7 IKE協商報文

圖8 IKE交互協商過程

3.3.3 數據加密傳輸

當網絡中僅搭建GRE隧道時，此時發起組播流量，在隧道端口處抓包發現UDP數據包，說明組播報文能夠通過GRE隧道穿越公網更高效地傳輸，其抓包結果如圖9中上側報文所示。

圖9 組播加密報文

分析捕獲的數據報文可知，GRE隧道為原始報文添加了新的IP包頭，允許組播流量通過隧道傳輸，但同時數據被暴露，說明此時隧道并不安全，容易造成信息泄露，故需要在傳輸中對數據進行加密操作以保障隧道安全。

當完成GRE over IPSec VPN的搭建及進行過安全協商后再次發起組播流量，抓包得到ESP數據包，如圖9中下側報文所示，其源地址和目的地址均是隧道的物理接口地址，無組播源地址和組播組地址。仿真結果說明GRE over IPSec VPN對組播數據進行了加密，增強了數據傳輸的保密性和安全性。

4 結束語

疫情防控期間，全國范圍的大中小學校普遍開設線上直播課堂，如此大規模持續性的線上直播業務給數據承載網絡帶來海量數據同步傳輸的巨大壓力并由此導致網絡大面積擁塞。該文充分認識此次大規模、成建制開展在線教育教學實踐對底層信息網絡提出的持續大規模高密度同步傳輸、分組式成員動態管理和資源跨域共享安全控制等組網性能需求，基于將VPN的安全性與組播數據傳輸的高效性相結合的設計思路給出了域內組播、全域組播和域間混合組播等三種“VPN+組播”組網技術設計方案，并通過仿真實現了GRE over IPSec VPN上的全域組播。仿真結果表明，“VPN+組播”組網技術能夠實現組成員管理、交互式安全協商和數據加密傳輸，既可有效支持疫情防控期間大規模線上直播教學業務，又可為建設適應未來教學資源共享常態化發展的基礎網絡提供關鍵技術支撐。